正規のoffice.comを悪用する新たなフィッシング詐欺が登場
サイバー犯罪者の手口はどんどん巧妙化していますね。最近、私たちCSIRTチームが注意深く監視している新たなフィッシング詐欺の手口をご紹介します。
Push Securityの研究者が報告した事例では、攻撃者が正規の「office.com」リンクとActive Directory フェデレーション サービス(ADFS)を巧妙に組み合わせて、ユーザーをフィッシングページへリダイレクトするという新しいテクニックが使われています。
この攻撃の恐ろしい点は、被害者が正規のMicrosoftドメインからスタートするため、従来のURLベースの検出が非常に困難になることです。
攻撃の全容:マルバタイジングからフィッシングまでの一連の流れ
実際の攻撃がどのように行われるか、ステップごとに見ていきましょう。
ステップ1:検索エンジンでの罠
攻撃は、ターゲットユーザーが「Office 265」(おそらく365のタイポ)というキーワードでGoogle検索を行うことから始まります。検索結果ページに表示される悪意のある広告リンクをクリックしてしまうのが最初の落とし穴です。
ステップ2:正規サイトを経由した巧妙なリダイレクト
マルバタイジングをクリックすると、まずMicrosoft Officeの正規ページへリダイレクトされます。これにより、ユーザーは「正規のサイトに来た」と安心してしまいます。しかし、その後「bluegraintours[.]com」という別のドメインに飛ばされ、最終的にOffice 365のログイン情報を狙ったフィッシングページに到達してしまうのです。
ADFSを悪用した技術的な手口の解析
カスタムMicrosoftテナントの準備
攻撃者は事前に以下の準備を行っていました:
- カスタムのMicrosoftテナントをセットアップ
- ADFSの設定を完了
- bluegraintours[.]comをIAMプロバイダーとして機能させる
ADFSは本来、1組のログイン認証情報で複数のアプリケーションにアクセスできる便利なシングルサインオン(SSO)ソリューションです。しかし、攻撃者はこの仕組みを悪用してフィッシングページでの認証を可能にしていたのです。
偽装サイトの巧妙な作り込み
興味深いのは、bluegraintoursのサイト自体はユーザーの目に触れることがないにも関わらず、攻撃者が旅行をテーマとする偽のブログ記事でサイトを埋めていた点です。これにより、自動スキャンツールに「正規サイト」と認識させていました。
現役フォレンジックアナリストが見た実際の被害事例
私がこれまでに調査したフィッシング詐欺の被害事例をいくつかご紹介します。
事例1:中小企業での情報漏洩インシデント
ある製造業の中小企業では、経理担当者がOffice 365にログインしようとして類似の攻撃に遭遇しました。結果として、会社の財務データや取引先情報が漏洩し、復旧に3か月、損害額は約500万円に上りました。
事例2:個人事業主のクラウドストレージ侵害
フリーランスのデザイナーが同様の手口でMicrosoftアカウントを乗っ取られ、OneDrive内の顧客データが全て暗号化されてしまいました。バックアップがなかったため、ビジネスの継続が困難になったケースもあります。
なぜこの攻撃手法が危険なのか
1. URLベースの検出が困難
正規のoffice.comリンクが使われるため、従来のフィッシング対策ツールでは検出が困難です。
2. マルバタイジングによる配布
メールではなく検索エンジン経由で攻撃が行われるため、メールレイヤーのセキュリティ対策を回避できます。
3. ユーザーの心理的な安心感を悪用
正規のMicrosoftページを経由するため、ユーザーが警戒心を解いてしまいます。
個人・中小企業が今すぐ実践できる対策方法
1. アンチウイルスソフト の導入
最新のアンチウイルスソフト
は、マルバタイジングやフィッシングサイトへのアクセスをリアルタイムでブロックします。特に、AIを活用したヒューリスティック検出機能により、新しい手口にも対応可能です。
2. VPN の活用
VPN
を使用することで、悪意のある広告やトラッキングをブロックし、安全な通信経路を確保できます。また、地理的制限により一部の攻撃を回避することも可能です。
3. 多要素認証の必須化
Office 365やその他のクラウドサービスには必ず多要素認証を設定しましょう。パスワードが漏洩しても、アカウントへの不正アクセスを防げます。
4. 定期的なセキュリティ教育
従業員や家族に対して、最新のフィッシング手口について情報共有を行いましょう。
企業に推奨される高度なセキュリティ対策
Webサイトの脆弱性診断
企業のWebサイトが攻撃の踏み台にされないよう、Webサイト脆弱性診断サービス
を定期的に実施することが重要です。脆弱性を早期発見し、適切な対策を講じることで、サイバー攻撃のリスクを大幅に軽減できます。
ADFSのモニタリング強化
企業でADFSを使用している場合は、以下の点をモニタリングしましょう:
- 異常なリダイレクト先の検出
- 未知のテナントからの認証要求
- 通常と異なるログインパターンの監視
まとめ:進化し続ける脅威への備え
今回紹介したoffice.comを悪用したフィッシング攻撃は、サイバー犯罪者が正規のサービスを巧妙に悪用する新たな手口の一例です。Push Securityの研究者も指摘している通り、これは実験的な攻撃である可能性が高く、今後さらに洗練された形で展開される可能性があります。
個人・中小企業を問わず、以下の基本的な対策を確実に実行することが重要です:
- 信頼できるアンチウイルスソフト
の導入 - VPN
による安全な通信環境の構築
- 多要素認証の設定
- 定期的なセキュリティ教育の実施
- 企業はWebサイト脆弱性診断サービス
の定期実施
サイバー攻撃の手口は日々進化していますが、基本的なセキュリティ対策をしっかりと実装することで、多くの攻撃から身を守ることができます。「自分は大丈夫」という過信は禁物です。今すぐできる対策から始めてみてください。
一次情報または関連リンク
元記事:正規の「office.com」リンクとActive Directory フェデレーション サービス(ADFS)を組み合わせたフィッシング攻撃について
